LINUX.ORG.RU
ФорумAdmin

Центральное хранилище и распределение SSH публичных ключей

 ,


0

1

Приветствую.

Вновь задумался о центральной хранилке и менеджере пабкеев, для себя представляю ansible сценарий и длинный конфиг с сопоставлением пользователь/группа_пользователей и хост/группа_хостов. Велосипед же очередной, но, а разве есть альтернативы? Де еще бы и с web интерфейсом, а в идеале интегрировать с каким нибудь keycloak.

LDAP, Kerberos, PAM, etc. только усложняет задачу и не везде есть

Кто может посоветовать что-то дельное? Гугл по прежнему ведет или на проприаритарщину или на окаменелости жизнедеятельности мамонта.

Спасбо.

Ответ на: комментарий от Deleted

Где то год назад использовал https://github.com/tg123/sshpiper но у него как раз таки была проблема с менеджментом ключей.

Проксировать SSH все же немного не то, хочется имеено распределять, обновлять и отзывать ключи с серверов.

Во всяком случае спасибо за наводку!

WoozyMasta
() автор топика

Вроде можно не хранить/распределять, а сертификаты подписывать. Тогда разливать нужно только отозванные, что реже и проще.

DonkeyHot ★★★★★
()

Не надо изобретать велосипеды. В качестве ssh-ключей можно использовать gpg-ключи, для которых уже есть например sks-keyserver со всеми мыслимыми плюшками

anonymous
()

А для чего их хранить и распространять, подскажите?

anonymous
()

FreeIPA (LDAP server) умеет централизованно хранить SSH ключи и проверять их при подключении через sssd.
То есть на сервере ключи не хранятся, а при подключении клиента sssd идет на сервер и проверяет есть ли юзер с этим ключем и есть ли у него права на подключение.
Умеет кэшировать результаты проверки, так что подключится к серверу можно даже с неработающим LDAP.

larrabee
()
Последнее исправление: larrabee (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin